«Самое простое - строить с нуля»: Сергей Боков делится своим опытом

Дмитрий Журавский
Об особенностях работы в сфере информационной безопасности нам рассказал руководитель направления ИБ в АК «АЛРОСА»

В январе в Смоленске пройдет первый межрегиональный форум IT WALL. Одним из его участников станет руководитель направления информационной безопасности АК «АЛРОСА». Со специалистом в сфере информационных технологий, работающим в крупнейшей алмазодобывающей компании, удалось пообщаться корреспонденту «Реадовки.ру».

Вы поработали в компаниях разных направлений. От страховой компании до лидера в сфере добычи алмазов. В чем разница построения системы ИБ в разных сферах?

 — Построение информационной безопасности в Компании — это всегда поиск «золотой середины”. Идеальная система ИБ — это когда ни внутренние ни внешние угрозы не могут повлиять на деятельность Компании, когда все информационные системы полностью изолированы от внешнего мира (любая информация не может уйти во вне и прийти из вне), но данная система полностью противоречит бизнес процессу, Компания в таком виде не жизнеспособна. Напротив, если в Компании отсутствует понятие информационной безопасности и открыты все возможности для реализации направленных угроз — то это также однозначно приведет к финансовым, репутационным и иным негативным последствиям, которые положат конец её деятельности.

Основные различия при построении ИБ в различных сферах бизнеса я бы разделил на две группы:



  • Решение бизнеса. Именно бизнес принимает конечное решение по нивелированию возможных рисков/угроз исходя из предоставленных отчетов аудита состояния информационной безопасности Компании.

  • Финансовые возможности организации. — Не редко при просчете рисков и предложению по их закрытию путем внедрения программно-аппаратного комплекса ИБ, стоимость решения превышает возможные финансовые потери.


С какими проблемами чаще всего сталкивается система ИБ в АК «АЛРОСА»?

 — Я бы не стал утверждать что в системе ИБ АК «АЛРОСА» на сегодняшний день существуют какие либо проблемы. Есть четкий список целей, к которым мы идем, есть концепция по развитию информационной безопасности Компании с определенными сроками ее реализации, имеется налаженный диалог с бизнесом по понижению уровня рисков ИБ. И главное это общее понимание цели, которой мы собираемся достигнуть.

Одна из целей форума — подготовка молодых специалистов. Есть ли в вашей фирме молодые IT-специалисты, и насколько хорошо они подготовлены?

— Как и любая крупная организация — мы заинтересованы в высоком уровне профессионализма наших специалистов. По кадровой политике в разрезе информационных технологий и безопасности нам очень удачно удалось совместить в штате взрослых, опытных сотрудников и молодых перспективных специалистов со своим видением практически по каждому вопросу. Основным плюсом данной модели является общее коллегиальное решение по каждой из задач.

Работая в С. К. Арсеналъ и Крымской страховой медицинской компании, вы, по сути, создали систему информационной безопасности с нуля. Что вы посоветуете начинающим компаниям взять за основу системы ИБ?

 — Самое простое — это всегда строить с нуля. Перестраивать то что было сделано до тебя всегда тяжелее. Всё самые удачные решения давно изобретены. По этой причине, я бы рекомендовал основываться на международных стандартах по информационной безопасности ISO 27000, ISO 27001, PCI DSS. При этом не стоит забывать про российское законодательство и требования 152 ФЗ (О персональных данных). Достаточно качественно описаны рекомендации от Банка России — СТО Б. Р. Существует огромное множество замечательных рекомендаций для своеобразного творчества по направлению информационной безопасности.

При старте работ по информационной безопасности, для начала необходимо провести полноценный внутренний аудит состояния защищенности Компании, определить системы и направления бизнеса, которые в основном подвержены угрозам, утвердить концепцию, политику и иные нормативные документы по регламентации деятельности информационной безопасности

Компании. После этого следует перейти к практической защите информационных систем используя как интегрированные возможности имеющихся программ, так и путем рассмотрения и внедрения специализированных решений.

Отечественные или иностранные разработки в сфере информационной безопасности использует АК «АЛРОСА»? если иностранные, то есть ли тенденция к замене их отечественными?

— Поскольку А. К. «АЛРОСА» является компанией с государственным участием, по передовым решениям информационной безопасности мы придерживаемся курса импортозамещения. Помимо этого, с целью обеспечить качественную защиту, также рассматриваются и передовые решения международных разработчиков, в случаях, когда среди российского программного обеспечения не находится достойных аналогов. Между тем работники Компании регулярно мониторят рынок решений российской разработки и при выявлении достойных аналогов — предпочтение отдаем отечественным.

Меломанский уикенд в Quart

Лина Данилевич

Джаз на саксофоне и фанк на виниле, на десерт - кино.
В недавно справившем годовщину баре Quart уже выработалась своеобразная схема, по которой проходят каждые выходные. Верным ходом здесь идут к становлению традиции, когда выбирая программу на ближайший уикенд, можно загодя знать, что тебя ждет: в один из выходных дней (как правило, в пятницу) это стандартно разнообразная живая музыка, в субботу обычно наступает время пруж

...

В Смоленск приедет Светлана Ефимова

Дмитрий Журавский

Со-основатель Media Forensic Software и директор по инновационным программам RIS Ventures посетит форум.
Светлана Николаевна больше 8 лет занимала пост руководителя департамента по глобальному развитию образовательных программ в «Лаборатории Касперского». За время этой работы наладили глобальную партнерскую академическая сеть с более чем 600 вузами по всему миру и свыше 2500 школ; создали и запустили глобальный конкурс среди студентов по информационной безопасности Cybersecurity for the next Generation и грантовую программу по инновациям. Примечательно, что обучение по ИБ организовали со школь

...


наверх